Uma nova cepa de malware do Android conhecida como SpyAgent está percorrendo o mundo — e roubando capturas de tela pelo caminho. Usando a tecnologia de reconhecimento óptico de caracteres (OCR), o malware está atrás de frases de recuperação de criptomoedas, geralmente armazenadas em capturas de tela nos dispositivos dos usuários.
Veja como evitar isso.
Os ataques começam, como sempre, com esforços de phishing. Os usuários recebem mensagens de texto com solicitação para baixarem aplicativos aparentemente legítimos. Se eles morderem a isca e instalarem o aplicativo, o malware SpyAgent entrará em ação.
Seu alvo? Capturas de tela das frases de recuperação de 12-24 palavras usadas para carteiras de criptomoedas. Como essas frases são muito longas para serem lembradas com facilidade, os usuários geralmente fazem capturas de tela para referência futura. Se os invasores comprometerem essas capturas de tela, poderão recuperar carteiras de criptomoedas no dispositivo de sua escolha, permitindo que roubem todas as moedas digitais que elas contêm. E quando os fundos acabam, eles desaparecem: a natureza dos protocolos de criptomoedas significa que, quando as transações são concluídas, elas não podem ser revertidas. Se o dinheiro for enviado para o endereço errado, os remetentes devem pedir aos destinatários que criem e concluam uma transação de devolução.
Se os usuários conseguirem uma captura de tela de sua frase de recuperação e a roubarem pelo SpyAgent, os invasores só precisam recuperar a carteira e transferir fundos para o destino de sua escolha.
O malware está percorrendo a Coreia do Sul, com mais de 280 APIs afetadas, de acordo com a Coin Telegraph. Essas aplicações são distribuídas fora da loja oficial do Google Play, muitas vezes usando mensagens SMS ou postagens em redes sociais para capturar o interesse do usuário. Alguns dos aplicativos infectados imitam os serviços do governo da Coreia do Sul ou do Reino Unido, enquanto outras parecem ser aplicações de encontros ou conteúdo adulto.
Há também indícios de que os invasores podem estar se preparando para expandir para o Reino Unido, o que, por sua vez, pode levar a um comprometimento mais generalizado. E, embora atualmente o malware esteja somente no Android, há sinais de que uma versão para iOS pode estar em desenvolvimento.
Boletim informativo do setor
Mantenha-se atualizado sobre as tendências mais importantes (e intrigantes) do setor em IA, automação, dados e muito mais com o boletim informativo Think. Consulte a Declaração de privacidade da IBM.
Sua assinatura será entregue em inglês. Você pode encontrar um link para cancelar a assinatura em todos os boletins informativos. Você pode gerenciar suas inscrições ou cancelar a inscrição aqui. Consulte nossa Declaração de privacidade da IBM para obter mais informações.
Embora as frases de recuperação de criptomoedas sejam a principal prioridade para o SpyAgent, o uso da tecnologia OCR significa que qualquer imagem está disponível. Por exemplo, se os dispositivos de negócios tiverem capturas de tela de nomes de usuário e senhas de bancos de dados ou ferramentas de análise de dados, os ativos da empresa poderão estar em risco. Considere um gerente com acesso a vários serviços seguros, cada um exigindo uma senha exclusiva para ajudar a reduzir o risco de comprometimento. Em um esforço para manter as senhas seguras, mas ainda assim tê-las disponíveis sob demanda, nosso gerente bem-intencionado faz uma lista e tira uma captura de tela de suas diferentes combinações de credenciais. Como eles acreditam que seu dispositivo está seguro, a empresa está usando soluções como autenticação multifator (MFA) e logon único seguro (SSO), e eles não veem sua captura de tela como um risco.
No entanto, se os hackers os convencerem a clicar e baixar aplicações infectadas, os invasores podem visualizar e roubar dados de imagem salvos e, em seguida, usar esses dados para obter acesso à conta "legalmente".
Outro risco potencial vem dos dados pessoais. Os usuários podem ter capturas de tela de dados pessoais de saúde ou financeiros, o que os coloca em risco de exfiltração de dados e fraude de identidade. Eles também podem ter detalhes de contato confidenciais de parceiros de negócios ou executivos, abrindo a porta para outra rodada de ataques de phishing.
Essa abordagem de comprometimento baseada em imagens cria dois problemas para as equipes de segurança. Primeiro, o tempo necessário para a detecção. As empresas levam, em média, 258 dias para detectar e conter um incidente, conforme observado no relatório do custo das violações de dados de 2024 da IBM. Mas esse número só se aplica se a segurança estiver disparando com todos os cilindros. Se os dispositivos móveis forem comprometidos por ações do usuário e o único objetivo do malware for encontrar e roubar capturas de tela, o problema poderá passar despercebido por muito mais tempo, especialmente se os invasores aguardarem.
Enquanto isso, quando os criminosos migrar para atacar, os danos podem ser significativos. Usando credenciais roubadas, os invasores podem obter acesso a serviços críticos e bloquear proprietários de contas. A partir daí, eles podem capturar e exfiltrar dados em uma série de sistemas e serviços de TI. Embora essa ação direta alerte as equipes de TI, a resposta de segurança é naturalmente reacionária, o que significa que as empresas não podem evitar o ataque; elas mitigam os danos.
A mensagem aqui é simples: se estiver no seu celular, nunca está totalmente seguro. Capturas de tela de senhas de recuperação de criptomoedas, logins e senhas corporativas ou dados pessoais, como números de previdência social ou detalhes de contas bancárias, são alvos valiosos para os invasores.
Desviar da bala também significa não morder a isca — não responda a mensagens de texto não solicitadas e faça download de aplicativos somente por meio de lojas de aplicativos aprovadas. Também significa tomar precauções. A natureza sempre conectada dos dispositivos significa que a segurança completa é uma realidade. Quanto menos armazenado em um dispositivo, melhor.
Os usuários podem manter os dispositivos seguros aderindo à armazenar oficial da Google Play. Aplicações baixadas fora da Play Store não têm garantias sobre sua segurança ou proteção. Alguns são aplicativos benignos que não passaram no processo de triagem do Google. Outras são quase duplicatas de aplicações oficiais que contêm arquivos ocultos ou comandos. E alguns são simplesmente veículos para instalar malware e se conectar a servidores de comando e controle (C2).
Além disso, as empresas podem se beneficiar do benefício da implementação de automação de segurança e ferramentas de segurança com IA. Essas soluções são capazes de capturar e correlacionar padrões de comportamento que podem parecer benignos, mas são indicadores coletivos de comprometimento (IoCs). Conforme observado pelos dados da IBM, as empresas que usaram amplamente a IA e a automação conseguiram detectar e conter violações 98 dias mais rápido do que a média global.
O malware SpyAgent agora está se escondendo na Coreia do Sul, roubando capturas de tela para capturar senhas de recuperação de criptografia e colocando as empresas em risco de comprometimento de dados em grande escala.
A melhor defesa? Uma combinação de economia de capturas de tela, suspeita sobre aplicativos de outras marcas e implementação de soluções de inteligência superiores.